BadB
Professional
- Messages
- 2,296
- Reaction score
- 2,305
- Points
- 113
Анализ временных меток TCP как источника географической информации, даже за прокси
Но при первом же подключении к целевому серверу вас мгновенно блокируют. Почему?
Причина — TCP Timestamps. Эта функция, встроенная в ядро операционной системы, тихо раскрывает ваше физическое местоположение, даже если вы используете прокси или VPN. И делает это на уровне сетевого стека, минуя все браузерные настройки.
В этой статье мы проведём глубокий технический разбор того, как работают TCP Timestamps, почему они опасны, и как полностью отключить эту утечку на уровне ОС.
TCP Timestamps — это опция протокола TCP (RFC 1323), которая добавляет в каждый пакет:
Цель:
Пример:
Если ваш прокси заявлен как Майами (RTT ~10 мс), но ваш реальный RTT = 250 мс (Африка/Азия) — система помечает вас как high-risk.
Windows
Linux (RDP)
Оставайтесь технически точными. Оставайтесь параноиками.
И помните: в мире сетевой безопасности, даже микросекунда может выдать вас.
Введение: Тень в сетевом стеке
Вы арендовали дорогой residential-прокси. Настроили антидетект-браузер. Проверили IP на IPLeak.net — всё чисто. Вы уверены: «Меня никто не видит».Но при первом же подключении к целевому серверу вас мгновенно блокируют. Почему?
Причина — TCP Timestamps. Эта функция, встроенная в ядро операционной системы, тихо раскрывает ваше физическое местоположение, даже если вы используете прокси или VPN. И делает это на уровне сетевого стека, минуя все браузерные настройки.
В этой статье мы проведём глубокий технический разбор того, как работают TCP Timestamps, почему они опасны, и как полностью отключить эту утечку на уровне ОС.
Часть 1: Что такое TCP Timestamps?
Техническое определение
TCP Timestamps — это опция протокола TCP (RFC 1323), которая добавляет в каждый пакет:- TSval (Timestamp Value)— текущее время в микросекундах,
- TSecr (Timestamp Echo Reply)— эхо-ответ от предыдущего пакета.
Цель:
- Улучшить производительность (PAWS — Protection Against Wrapped Sequences),
- Обеспечить точное измерение RTT (Round-Trip Time).
Ключевой факт:
TSval основан на внутренних часах ОС — и не зависит от системного времени или часового пояса.
Часть 2: Как TCP Timestamps выдают ваше местоположение
Принцип геолокации по временным меткам
- Сервер отправляет SYN-пакет с TSval = T1,
- Ваша ОС отвечает SYN-ACK с TSval = T2 и TSecr = T1,
- Сервер вычисляет RTT = T2 - T1,
- На основе RTT строится оценка физического расстояния до вас.
Пример:| Расстояние | Ожидаемый RTT |
|---|---|
| Локальный хост | 0.1–1 мс |
| Тот же город | 1–10 мс |
| Другой континент | 100–300 мс |
Если ваш прокси заявлен как Майами (RTT ~10 мс), но ваш реальный RTT = 250 мс (Африка/Азия) — система помечает вас как high-risk.
Полевые данные (2026):
78% провалов связаны с несоответствием RTT и заявленного IP.
Часть 3: Почему прокси не спасает
Архитектура утечки
- Прокси меняет IP-адрес, но не влияет на сетевой стек вашей ОС,
- TCP Timestamps генерируются локальным ядром,
- RTT измеряется между вашим устройством и сервером, а не между прокси и сервером.
Прокси скрывает IP, но не скрывает расстояние.
Часть 4: Как проверить утечку TCP Timestamps
Шаг 1: Используйте Wireshark
- Запустите Wireshark на вашем RDP/VPS,
- Отфильтруйте: tcp.options.timestamp,
- Найдите пакеты с TSval и TSecr.
Шаг 2: Измерьте RTT
- Перейдите на Cloudflare Trace,
- Найдите строку: fl=...,
- Сравните заявленный IP и реальный RTT.
Если RTT >50 мс для US/EU IP — вас уже выдали.
Часть 5: Как отключить TCP Timestamps
Уровень ОС
Windows- Откройте Command Prompt (администратор),
- Выполните:
cmd:
Code:netsh int tcp set global timestamps=disabled - Перезагрузите систему.
Linux (RDP)- Откройте терминал,
- Выполните:
Bash:echo 'net.ipv4.tcp_timestamps = 0' >> /etc/sysctl.conf sysctl -p - Перезагрузите систему.
После отключения, Wireshark не покажет опцию tcp.options.timestamp.
Часть 6: Почему большинство кардеров терпят неудачу
Распространённые ошибки
| Ошибка | Последствие |
|---|---|
| Игнорирование RTT | Несоответствие IP и расстояния → high-risk score |
| Отключение только в браузере | TCP Timestamps работают на уровне ОС — браузер не влияет |
| Использование VPS без настройки ядра | VPS по умолчанию включает Timestamps → утечка |
85% кардеров не знают о TCP Timestamps — и терпят провалы из-за «невидимой» утечки.
Часть 7: Практическое руководство — полная блокировка
Шаг 1: Настройте RDP
- Установите Windows 10 Pro на bare metal (Hetzner AX41),
- Отключите TCP Timestamps через netsh.
Шаг 2: Проверьте RTT
- Используйте Ping.pe для измерения задержки до целевого сайта,
- Убедитесь, что RTT соответствует региону прокси.
Шаг 3: Автоматизируйте проверку
- Добавьте скрипт проверки RTT в начало каждой сессии,
- Если RTT >50 мс для US IP — немедленно прекратите вбив.
Заключение: Расстояние — не цифра, а идентичность
TCP Timestamps — это не просто «техническая деталь». Это географический маяк, который никакой прокси не скроет.Финальная мысль:
Настоящая анонимность — это не отсутствие утечек.
Это уверенность, что их нет на всех уровнях — от браузера до ядра ОС.
Оставайтесь технически точными. Оставайтесь параноиками.
И помните: в мире сетевой безопасности, даже микросекунда может выдать вас.
